Solucionar problemas de eventos ou alertas ausentes para Microsoft Defender para Ponto de Extremidade no Linux
Aplica-se a:
- Microsoft Defender para Ponto de Extremidade para Linux
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
Este artigo fornece algumas etapas gerais para mitigar eventos ou alertas ausentes no portal Microsoft Defender.
Depois que Microsoft Defender para Ponto de Extremidade tiver sido instalado corretamente em um dispositivo, uma página do dispositivo será gerada no portal. Você pode examinar todos os eventos registrados na guia linha do tempo na página do dispositivo ou na página de caça avançada. Esta seção soluciona o caso de alguns ou todos os eventos esperados estão ausentes. Por exemplo, se todos os eventos CreatedFile estiverem ausentes.
Eventos de rede e logon ausentes
Microsoft Defender para Ponto de Extremidade estrutura utilizada audit
do linux para acompanhar a rede e a atividade de logon.
Verifique se a estrutura de auditoria está funcionando.
service auditd status
saída esperada:
● auditd.service - Security Auditing Service Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled) Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago Docs: man:auditd(8) https://github.com/linux-audit/audit-documentation Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE) Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS) Main PID: 16666 (auditd) Tasks: 25 CGroup: /system.slice/auditd.service ├─16666 /sbin/auditd ├─16668 /sbin/audispd ├─16670 /usr/sbin/sedispatch └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
Se
auditd
estiver marcado como parado, inicie-o.service auditd start
Em sistemas SLES , a auditoria SYSCALL em auditd
pode ser desabilitada por padrão e pode ser contabilizado para eventos ausentes.
Para validar que a auditoria SYSCALL não está desabilitada, liste as regras de auditoria atuais:
sudo auditctl -l
se a linha a seguir estiver presente, remova-a ou edite-a para permitir que Microsoft Defender para Ponto de Extremidade acompanhe SYSCALLs específicos.
-a task, never
As regras de auditoria estão localizadas em
/etc/audit/rules.d/audit.rules
.
Eventos de arquivo ausentes
Os eventos de arquivo são coletados com fanotify
estrutura. Caso alguns ou todos os eventos de arquivo estejam ausentes, verifique se fanotify
está habilitado no dispositivo e se o sistema de arquivos tem suporte.
Liste os sistemas de arquivos no computador com:
df -Th
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.